-
Junior Member
- Вес репутации
- 51
wwwznv32.exe, help
сегодня стал подглючивать комп играя в игру ни разу такого не было сразу понял что что то не то , заглянул в диспетчер увидел этого виновника svchost.exe , (wwwznv32.exe) стал разбираться и дело до шло до вас ! помогите пожалуйста цурейтом проверял обновленным нашел 4 вируса но не эти .стоит панда бесплатная интернет секюрити 2010. вот сделал логи как все написано в инструкциях если что не правильно поправляйте.надееюсь на вас господа!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Панду перед выполнением рекомендаций отключить
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=d:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\71ti4bk.exe,d:\windows\system32\7069f500.exe,D:\WINDOWS\system32\90a5fbd0.exe,
O4 - Startup: wwwznv32.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\лёха\Рабочий стол\Лёха\инет\Alawar.rar','');
QuarantineFile('d:\windows\system32\7069f500.exe','');
TerminateProcessByName('d:\documents and settings\лёха\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
QuarantineFile('d:\documents and settings\лёха\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('d:\documents and settings\лёха\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('d:\windows\system32\7069f500.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
ребята вот что получилось! wwwznv32.exe в процессах висит всеравно, svchost.exe все еще жрет 50 цп
вот логи прикрепил снизу Malwarebytes' Anti-Malware
рист выдает ошибку при искании хайджека
---------------------------
AutoIt Error
---------------------------
Line -1:
Error: Subscript used with non-Array variable.
---------------------------
ОК
---------------------------
что делать?
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{10a2afe5-a6c3-46a9-a3e9-dfbe934afcbb} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{1b1d0286-1a03-4e7d-a5e1-022054cda9e3} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{375c22ae-f0b0-47c3-ba60-baff0806434a} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{dcbb729a-dc7b-4c5b-82ce-158bb801e96c} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b4806c1a-fe8a-4008-9da3-8cedb6e82c10} (Adware.EcoBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b4806c1a-fe8a-4008-9da3-8cedb6e82c10} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
HKEY_CLASSES_ROOT\AppID\tmasrv.exe (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ffvalidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ieadapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwband (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwdialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.context (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.filterdebugger (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.match (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.regexp (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaycookie (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayerror (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayfilterrate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayrequest (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayserver (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaysiterate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.urlscriptlet (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
Зараженные папки:
D:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
Зараженные файлы:
D:\Documents and Settings\лёха\Рабочий стол\avz4\avz4\Quarantine\2010-07-18\avz00003.dta (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\лёха\Рабочий стол\avz4\avz4\Quarantine\2010-07-18\bcqr00005.dat (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\лёха\Рабочий стол\avz4\avz4\Quarantine\2010-07-18\bcqr00006.dat (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
D:\Documents and Settings\All Users\Application Data\srtserv\set.dat (Worm.AutoRun) -> No action taken.
Сделайте новый лог МВАМ + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
лог МВАМ сделал а вот лог ComboFix нет, в начале выдает че то и не работал хоть и комп не подвисал скриншот есть потом после перезагрузки он что то начал делать скачал какие то дравера чтоли только для виндос хр хоме едишон , потом че то повыполнял и как кто опять остановился и не пахал незнаю че делать даже ! все еще цп 50 и вирус все еще остался
-
В безопасном режиме ComboFix попробуйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
о щас попробую.
Добавлено через 4 часа 1 минуту
вообщем вот чем все закончилось та прога кобмбо фикс через безопаску комп не вкл презезагружался!!!думал думал и придумал открыл я тотал командер нашел виновника и предпринял такие действия удаляю незя говорит тогда я снял процесс свчхост и минута мне дается чтоб завершить все процеессы до этого я вручную нашел в реестре запись wwwznv32.exe и удалил его вот значит за эту минуту у мя открыт тотал я удаляю его без проблем и все эврика без всяких заморочек вируса не стало
что мне делать теперь !у меня щас появился после ваших програм процеесс services.exe он жрет оперативу около 9-10 цп пытаюсь снять он говорит что незя :это критический системный процесс
Добавлено через 22 минуты
кстати и помоему это вирус!
Последний раз редактировалось леха21; 19.07.2010 в 21:58.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\1af00570.exe,D:\WINDOWS\system32\jhbpkk.exe,
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Скачайте
RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (
RSIT) в корне системного диска.
- вот такой лог сделайте
-
-
Junior Member
- Вес репутации
- 51
не помогло services.exe все еще висит и стал больше жрать оперативы 35цп а также процесс от панды:TPSrv.exe стал есть 20цп
блин откуда они тока берутся все эти виры , также попадался на глаза не давно rout.exe после презагрузки пропал, а рист не работает писал же вить выше!!!из за комбофикса мне кажется эти вирусы нахватал и ваше он тож фиг поими как работает одни ошибки из за него и зависания! может есть другой путь удаления вируса !
лог хайджека прикрепил опять новый!
-
Панду отключали при попытке создать лог ComboFix?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Деинсталлируйте Панду и попробуйте сделать лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-